一般的なアプリケーションで使用されるデフォルトのポートを理解した後、セキュリティグループルールをより正確に追加または変更できます。 これにより、ECS (Elastic Compute Service) インスタンスでホストされるアプリケーションは、SSH経由でECSインスタンスに接続したり、SMTP (Simple Mail Transfer Protocol) サービスを使用して電子メールを送信したりするなど、さまざまなシナリオでビジネス要件を満たすために、必要なポートを介して外部サービスを提供できます。 このトピックでは、ECSインスタンスの共通ポートと対応する使用シナリオについて説明します。
背景情報
セキュリティグループルールをセキュリティグループに追加する場合、通信ポートまたはポート範囲を指定する必要があります。 セキュリティグループは、セキュリティグループルールに基づいて、ECSインスタンスとの間のトラフィックを許可または拒否します。
たとえば、Xshellクライアントを使用してセキュリティグループ内のLinuxインスタンスに接続すると、セキュリティグループはインターネットまたは内部ネットワークからのSSH要求を検出します。 次に、セキュリティグループは、要求を各インバウンドルールと照合して、ルールが要求送信者のIPアドレスを含むかどうか、およびポート22が開いているかどうかをチェックします。 リクエストを許可するインバウンドルールが一致するまで、インスタンスへの接続は確立されません。
特定のキャリアは、ポート25、135、139、444、445、5800、および5900を高リスクポートとしてマークし、ポート上のトラフィックはデフォルトでブロックされます。 ポートがセキュリティグループルールによって開かれた場合でも、ECSインスタンスは特定のリージョンのポートを介してアクセスできません。 ポートを使用しないことを推奨します。
Windows Serverオペレーティングシステムのアプリケーションで使用されるポートの詳細については、Microsoftドキュメントの「Windowsのサービスの概要とネットワークポートの要件」を参照してください。
共通ポート
次の表に、一般的なアプリケーションで使用されるデフォルトのポートを示します。
ポート | サービス | 説明 |
21 | FTP | FTPポート。 ポートはファイルのアップロードとダウンロードに使用されます。 |
22 | SSH | SSH ポート このポートは、CLIツールまたはPuTTY、Xshell、SecureCRTなどのリモート接続ソフトウェアを使用してLinux ECSインスタンスにログインするために使用されます。 詳細については、「ユーザー名とパスワードを使用したLinuxインスタンスへの接続」をご参照ください。 |
23 | Telnet | Telnetポート。 ポートはECSインスタンスへのログインに使用されます。 |
25 | SMTP | SMTPポート。 ポートはメールの送信に使用されます。 説明 ECSインスタンスでは、セキュリティを確保するため、ポート25はデフォルトで無効になっています。 SSLポートを使用してメールを送信することを推奨します。 ほとんどの場合、SSLポートはポート465です。 |
53 | DNS | ドメインネームサーバー (DNS) ポート。 説明 セキュリティグループがデフォルトですべてのアウトバウンドアクセスを拒否し、セキュリティグループルールに基づいて特定のアウトバウンドアクセスを許可する場合、ドメイン名を解決するためにアウトバウンドトラフィックのデフォルトUDPポート53を開くセキュリティグループルールを追加する必要があります。 |
80 | HTTP | HTTPポート。 このポートは、IIS、Apache、NGINXなどのサービスにアクセスするために使用されます。 ポート80に関連する問題のトラブルシューティング方法については、「TCPポート80が使用可能かどうかの確認」をご参照ください。 |
110 | POP3 | POP3ポート。 ポートはメールの送受信に使用されます。 |
143 | IMAP | Internet Message Access Protocol (IMAP) ポート。 ポートはメールの受信に使用されます。 |
443 | HTTPS | HTTPSポート。 ポートはHTTPS経由のアクセスに使用されます。 HTTPSプロトコルは、暗号化された安全なデータ送信を提供できます。 |
1433 | SQL Server | SQL ServerのTCPポート。 ポートは、SQL Serverが外部サービスを提供するために使用されます。 |
1434 | SQL Server | SQL ServerのUDPポート。 ポートは、SQL Serverで使用されるTCP/IPポートとIPアドレスを取得するために使用されます。 重要 SQL Server Browserサービスを使用する必要がある場合にのみ、UDPポート1434を開きます。 SQL Server Browserサービスを使用する必要がない場合は、UDPポート1434を閉じるか、ポート経由のトラフィックを制限してセキュリティを確保することをお勧めします。 |
1521 | Oracle | Oracleの通信ポート。 Oracle SQLを実行するECSインスタンスは、このポートを開いている必要があります。 |
3306 | MySQL | MySQLポート。 ポートは、MySQLが外部サービスを提供するために使用されます。 |
3389 | Windows Server Remote Desktop Services | Windows Serverリモートデスクトップサービスポート。 ポートは、Windows ECSインスタンスへのログインに使用されます。 詳細については、「ユーザー名とパスワードを使用したWindowsインスタンスへの接続」をご参照ください。 |
8080 | プロキシサービス | ポート80に代わるもの。 ほとんどの場合、ポート8080は |
137、138、139 | NetBIOS | ほとんどの場合、NetBIOSプロトコルはWindowsファイルとプリンタを共有するために使用されます。 プロトコルはSambaでも使用されています。
|
サンプル使用シナリオ
次の表に、ECSインスタンスで使用される特定の共通ポートのサンプル使用シナリオと、そのシナリオで使用されるセキュリティグループルールを示します。 使用シナリオの詳細については、「さまざまなユースケースのセキュリティグループ」をご参照ください。
使用シナリオ | ネットワークタイプ | 方向 | Action | プロトコル | ポート範囲 | オブジェクト型 | 権限付与オブジェクト | 優先度 |
SSH経由でLinux ECSインスタンスに接続する | Virtual Private Cloud (VPC) | インバウンド | 許可 | カスタマイズTCP | SSH (22) | CIDRブロック | 0.0.0.0/0 | 1 |
クラシックネットワーク | インターネットの入口 | |||||||
リモートデスクトッププロトコル (RDP) を介したWindows ECSインスタンスへの接続 | VPC | インバウンド | 許可 | カスタマイズTCP | RDP (3389) | CIDRブロック | 0.0.0.0/0 | 1 |
クラシックネットワーク | インターネットの入口 | |||||||
インターネット経由でのECSインスタンスのPing | VPC | インバウンド | 許可 | すべての ICMP | -1/-1 | CIDRブロックまたはセキュリティグループ | 権限付与タイプの対象 | 1 |
クラシックネットワーク | インターネットの入口 | |||||||
ECSインスタンスをwebサーバーとして使用する | VPC | インバウンド | 許可 | カスタマイズTCP | HTTP (80) | CIDRブロック | 0.0.0.0/0 | 1 |
クラシックネットワーク | インターネットの入口 | |||||||
FTP経由でファイルをアップロードおよびダウンロード | VPC | インバウンド | 許可 | カスタマイズTCP | 20/21 | CIDRブロック | 指定されたCIDRブロック | 1 |
クラシックネットワーク | インターネットの入口 |